Sdílet prostřednictvím

Mapování polí CEF a CommonSecurityLog

  • Článek

Následující tabulky mapují názvy polí CEF (Common Event Format) na názvy, které používají v CommonSecurityLogu microsoft Sentinelu, a můžou být užitečné při práci se zdrojem dat CEF v Microsoft Sentinelu. Další informace najdete v tématu Ingestování zpráv syslogu a CEF do Služby Microsoft Sentinel pomocí agenta služby Azure Monitor.

A–C

Název klíče CEF Název pole CommonSecurityLog Popis
akt DeviceAction Akce uvedená v události.
Aplikace ApplicationProtocol Protokol použitý v aplikaci, například HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS atd.
cat DeviceEventCategory Představuje kategorii přiřazenou původním zařízením. Zařízení často ke klasifikaci událostí používají vlastní schéma kategorizace. Například: /Monitor/Disk/Read.
cnt EventCount Počet přidružený k události, který ukazuje, kolikrát byla zjištěna stejná událost.

D

Název klíče CEF Název CommonSecurityLog Popis
Dodavatel zařízení DeviceVendor Řetězec, který společně s definicemi produktů a verzí zařízení jednoznačně identifikuje typ odesílajícího zařízení.
Produkt zařízení DeviceProduct Řetězec, který společně s definicemi dodavatele zařízení a verze jednoznačně identifikuje typ odesílajícího zařízení.
Verze zařízení DeviceVersion Řetězec, který společně s definicemi produktů zařízení a dodavatelů jednoznačně identifikuje typ odesílajícího zařízení.
destinationDnsDomain DestinationDnsDomain Část DNS plně kvalifikovaného názvu domény (FQDN).
destinationServiceName DestinationServiceName Služba, která je cílem události. Například sshd.
destinationTranslatedAddress DestinationTranslatedAddress Identifikuje přeložený cíl, na který odkazuje událost v síti IP, jako IP adresu IPv4.
destinationTranslatedPort DestinationTranslatedPort Port po překladu, například bránu firewall.
Platná čísla portů: 0 - 65535
deviceDirection CommunicationDirection Veškeré informace o směru zjištěné komunikace. Platné hodnoty:
- 0 = Příchozí
- 1 = Odchozí
deviceDnsDomain DeviceDnsDomain Část domény DNS plně kvalifikovaného názvu domény (FQDN)
DeviceEventClassID DeviceEventClassID Řetězec nebo celé číslo, které slouží jako jedinečný identifikátor pro každý typ události.
deviceExternalId deviceExternalId Název, který jednoznačně identifikuje zařízení, které událost generuje.
deviceFacility DeviceFacility Zařízení, které událost generuje.
deviceInboundInterface DeviceInboundInterface Rozhraní, na kterém paket nebo data zadala zařízení.
deviceNtDomain DeviceNtDomain Doména Windows adresy zařízení
deviceOutboundInterface DeviceOutboundInterface Rozhraní, na kterém paket nebo data opustila zařízení.
devicePayloadId DevicePayloadId Jedinečný identifikátor datové části přidružené k události.
deviceProcessName ProcessName Název procesu přidružený k události.

Například v systému UNIX proces generující položku syslogu.
deviceTranslatedAddress DeviceTranslatedAddress Identifikuje přeloženou adresu zařízení, na kterou událost odkazuje, v síti IP.

Formát je adresa Ipv4.
dhost DestinationHostName Cíl, na který událost odkazuje v síti IP.
Formát by měl být plně kvalifikovaný název domény přidružený k cílovému uzlu, pokud je uzel dostupný. Například host.domain.com nebo host.
dmac DestinationMacAddress Cílová adresa MAC (FQDN)
Dntdom DestinationNTDomain Název domény Systému Windows cílové adresy.
dpid DestinationProcessId ID cílového procesu přidruženého k události.
dpriv DestinationUserPrivileges Definuje oprávnění cílového použití.
Platné hodnoty: Administrator, UserGuest
dproc DestinationProcessName Název cílového procesu události, například telnetd nebo sshd.
Dpt DestinationPort Cílový port.
Platné hodnoty: *0 - 65535
Dst DestinationIP Cílová adresa IpV4, na kterou událost odkazuje v síti IP.
dtz DeviceTimeZone Časové pásmo zařízení, které generuje událost
duid DestinationUserId Identifikuje cílového uživatele podle ID.
duser DestinationUserName Identifikuje cílového uživatele podle jména.
dvc DeviceAddress Adresa IPv4 zařízení, které událost generuje.
dvchost DeviceName Plně kvalifikovaný název domény přidružený k uzlu zařízení, pokud je uzel k dispozici. Například host.domain.com nebo host.
dvcmac DeviceMacAddress Adresa MAC zařízení, které událost generuje.
dvcpid Process ID Definuje ID procesu v zařízení, které událost generuje.

E - I

Název klíče CEF Název CommonSecurityLog Popis
externalId ExternalID ID používané původním zařízením. Tyto hodnoty obvykle mají rostoucí hodnoty, které jsou přidružené k události.
fileCreateTime FileCreateTime Čas vytvoření souboru
fileHash FileHash Hodnota hash souboru
fileId ID souboru ID přidružené k souboru, například inode.
fileModificationTime FileModificationTime Čas poslední změny souboru
filePath Cesta k souboru Úplná cesta k souboru, včetně názvu souboru. Například: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe nebo /usr/bin/zip.
filePermission FilePermission Oprávnění k souboru.
fileType FileType Typ souboru, například potrubí, soket atd.
Fname FileName Název souboru bez cesty.
fsize Velikost souboru Velikost souboru.
Hostitelský počítač Počítač Host, from Syslog
in ReceivedBytes Počet bajtů přenesených příchozími přenosy

M – P

Název klíče CEF Název CommonSecurityLog Popis
msg Zpráva Zpráva s dalšími podrobnostmi o události.
Název Aktivita Řetězec, který představuje čitelný a srozumitelný popis události.
oldFileCreateTime OldFileCreateTime Čas vytvoření starého souboru
oldFileHash OldFileHash Hodnota hash starého souboru
oldFileId OldFileId A ID přidružené ke starému souboru, například inode.
oldFileModificationTime OldFileModificationTime Čas poslední změny starého souboru
oldFileName OldFileName Název starého souboru.
oldFilePath OldFilePath Úplná cesta k původnímu souboru, včetně názvu souboru.
Například C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe nebo /usr/bin/zip.
oldFilePermission OldFilePermission Oprávnění starého souboru.
oldFileSize OldFileSize Velikost starého souboru.
oldFileType OldFileType Typ souboru starého souboru, například potrubí, soket atd.
out SentBytes Počet bajtů přenesených odchozích přenosů
výsledek EventOutcome Výsledek události, například success nebo failure.
proto Protokol Přenosový protokol, který identifikuje použitý protokol vrstvy 4.

Možné hodnoty zahrnují názvy protokolů, například TCP nebo UDP.

R–T

Název klíče CEF Název CommonSecurityLog Popis
reason Důvod Důvod vygenerování události auditu. Například badd password nebo unknown user. Může se jednat také o chybu nebo návratový kód. Například: 0x1234.
Žádost RequestURL Adresa URL přístupná k požadavku HTTP, včetně protokolu. Například http://www/secure.com
requestClientApplication RequestClientApplication Uživatelský agent přidružený k požadavku.
requestContext RequestContext Popisuje obsah, ze kterého požadavek pochází, například referrer HTTP.
requestCookies RequestCookies Soubory cookie přidružené k žádosti.
requestMethod RequestMethod Metoda použitá pro přístup k adrese URL.

Platné hodnoty zahrnují metody, jako POSTje například , GETatd.
Rt ReceiptTime Čas přijetí události související s aktivitou.
Závažnost LogSeverity Řetězec nebo celé číslo, které popisuje důležitost události.

Platné řetězcové hodnoty: Unknown , Low, Medium, HighVery-High

Platné celočíselné hodnoty jsou:
- 0-3 = Nízká
- 4-6 = Střední
- 7-8 = Vysoká
- 9-10 = Velmi vysoká
shost SourceHostName Identifikuje zdroj, na který událost odkazuje v síti IP. Formát by měl být plně kvalifikovaný název domény (FQDN) přidružený ke zdrojovému uzlu, pokud je uzel dostupný. Například host nebo host.domain.com.
smac SourceMacAddress Zdrojová adresa MAC.
sntdom SourceNTDomain Název domény Systému Windows pro zdrojovou adresu.
sourceDnsDomain SourceDnsDomain Část domény DNS kompletního plně kvalifikovaného názvu domény.
sourceServiceName SourceServiceName Služba zodpovědná za generování události.
sourceTranslatedAddress SourceTranslatedAddress Identifikuje přeložený zdroj, na který událost odkazuje v síti IP.
sourceTranslatedPort SourceTranslatedPort Zdrojový port po překladu, jako je brána firewall.
Platná čísla portů jsou 0 - 65535.
spid SourceProcessId ID zdrojového procesu přidruženého k události.
spriv SourceUserPrivileges Oprávnění zdrojového uživatele.

Mezi platné hodnoty patří: Administrator, UserGuest
sproc SourceProcessName Název zdrojového procesu události.
Spt SourcePort Číslo zdrojového portu.
Platná čísla portů jsou 0 - 65535.
src Zdrojová IP adresa Zdroj, na který událost odkazuje v síti IP, jako adresa IPv4.
Suid SourceUserID Identifikuje zdrojového uživatele podle ID.
suser SourceUserName Identifikuje zdrojového uživatele podle jména.
type Typ události Typ události. Mezi hodnoty patří:
- 0: základní událost
- 1:nahromadil
- 2: korelace – událost
- 3: událost akce

Poznámka: Tuto událost je možné vynechat pro základní události.

Vlastní pole

Následující tabulky mapují názvy klíčů CEF a polí CommonSecurityLog, která mají zákazníci používat pro data, která neplatí pro žádná z předdefinovaných polí.

Vlastní pole adresy IPv6

Následující tabulka mapuje názvy klíčů CEF a CommonSecurityLog pro pole adres IPv6 , která jsou k dispozici pro vlastní data.

Název klíče CEF Název CommonSecurityLog
c6a1 DeviceCustomIPv6Address1
c6a1Label DeviceCustomIPv6Address1Label
c6a2 DeviceCustomIPv6Address2
c6a2Label DeviceCustomIPv6Address2Label
c6a3 DeviceCustomIPv6Address3
c6a3Label DeviceCustomIPv6Address3Label
c6a4 DeviceCustomIPv6Address4
c6a4Label DeviceCustomIPv6Address4Label
cfp1 DeviceCustomFloatingPoint1
cfp1Label deviceCustomFloatingPoint1Label
cfp2 DeviceCustomFloatingPoint2
cfp2Label deviceCustomFloatingPoint2Label
cfp3 DeviceCustomFloatingPoint3
cfp3Label deviceCustomFloatingPoint3Label
cfp4 DeviceCustomFloatingPoint4
cfp4Label deviceCustomFloatingPoint4Label

Vlastní číselná pole

Následující tabulka mapuje názvy klíčů CEF a CommonSecurityLog pro číselná pole dostupná pro vlastní data.

Název klíče CEF Název CommonSecurityLog
cn1 DeviceCustomNumber1
cn1Label DeviceCustomNumber1Label
cn2 DeviceCustomNumber2
cn2Label DeviceCustomNumber2Label
cn3 DeviceCustomNumber3
cn3Label DeviceCustomNumber3Label

Vlastní pole řetězců

Následující tabulka mapuje názvy klíčů CEF a CommonSecurityLog pro pole řetězců , která jsou k dispozici pro vlastní data.

Název klíče CEF Název CommonSecurityLog
cs1 DeviceCustomString1 1
cs1Label DeviceCustomString1Label 1
cs2 DeviceCustomString2 1
cs2Label DeviceCustomString2Label 1
cs3 DeviceCustomString3 1
cs3Label DeviceCustomString3Label 1
cs4 DeviceCustomString4 1
cs4Label DeviceCustomString4Label 1
cs5 DeviceCustomString5 1
cs5Label DeviceCustomString5Label 1
cs6 DeviceCustomString6 1
cs6Label DeviceCustomString6Label 1
flexString1 FlexString1
flexString1Label FlexString1Label
flexString2 FlexString2
flexString2Label FlexString2Label

Tip

1 Pokud je to možné, doporučujeme používat pole DeviceCustomString střídmě a používat konkrétnější předdefinovaná pole.

Vlastní pole časového razítka

Následující tabulka mapuje názvy klíčů CEF a CommonSecurityLog pro pole časového razítka , která jsou k dispozici pro vlastní data.

Název klíče CEF Název CommonSecurityLog
deviceCustomDate1 DeviceCustomDate1
deviceCustomDate1Label DeviceCustomDate1Label
deviceCustomDate2 DeviceCustomDate2
deviceCustomDate2Label DeviceCustomDate2Label
flexDate1 FlexDate1
flexDate1Label FlexDate1Label

Vlastní celočíselná datová pole

Následující tabulka mapuje názvy klíčů CEF a CommonSecurityLog pro celočíselná pole dostupná pro vlastní data.

Název klíče CEF Název CommonSecurityLog
flexNumber1 FlexNumber1
flexNumber1Label FlexNumber1Label
flexNumber2 FlexNumber2
flexNumber2Label FlexNumber2Label

Pole rozšiřování

Microsoft Sentinel přidá následující pole CommonSecurityLog , která obohacují původní události přijaté ze zdrojových zařízení a nemají mapování v klíčích CEF:

Pole analýzy hrozeb

Název pole CommonSecurityLog Popis
IndicatorThreatType Typ hrozby ŠkodlivýIP podle informačního kanálu analýzy hrozeb.
ŠkodlivýIP Zobrazí seznam všech IP adres ve zprávě, které korelují s aktuálním informačním kanálem analýzy hrozeb.
MaliciousIPCountry Země nebo oblast ŠkodlivéhoIP podle geografických informací v době příjmu záznamů.
Zlými úmysly Zeměpisná délka ŠkodlivéHOIP podle zeměpisných informací v době příjmu záznamů.
ŠkodlivýIPLongitude Zeměpisná délka ŠkodlivéHOIP podle zeměpisných informací v době příjmu záznamů.
ReportReferenceLink Odkaz na sestavu analýzy hrozeb
ThreatConfidence Spolehlivost škodlivých IP hrozeb podle informačního kanálu analýzy hrozeb.
ThreatDescription Popis hrozby ŠkodlivýIP podle informačního kanálu analýzy hrozeb.
Ohrožení bez ohledu na hrozby Závažnost hrozby pro škodlivý IP kód v závislosti na informačním kanálu analýzy hrozeb v době příjmu záznamů.

Další pole rozšiřování

Název pole CommonSecurityLog Popis
OriginalLogSeverity Vždy prázdné, podporované pro integraci s CiscoASA.
Podrobnosti o hodnotách závažnosti protokolu najdete v poli LogSeverity .
RemoteIP Vzdálená IP adresa.
Tato hodnota je založena na poli CommunicationDirection , pokud je to možné.
RemotePort Vzdálený port.
Tato hodnota je založena na poli CommunicationDirection , pokud je to možné.
SimplifiedDeviceAction Zjednodušuje hodnotu DeviceAction na statickou sadu hodnot a přitom zachovává původní hodnotu v poli DeviceAction.
Například: Denied>Deny.
SourceSystem Vždy definované jako OpsManager.

Související obsah